Web应用程序安全攻防
本章从WEB技术的服务端和浏览器端来分析WEB安全攻防技术的轮廓。Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态。Web应用体系有浏览器作为客户端完成数据显示和展示内容的渲染;由功能强大的服务器完成主要业务的计算和处理,两者之间通过因特网或内联网上HTTP/HTTPS应用层协议的请求与应答进行通信。服务器端由Web服务器软件、Web应用程序与后端数据库构成,并通过经典三层架构:表示层、业务逻辑层、数据层三层来进行组织与构建。
Web应用体系结构中关键组件:
浏览器(Browser)
Web服务器(Web Server)
Web应用程序(Web Application)
数据库(Database)
传输协议HTTP/HTTPS
Web应用安全威胁:
针对浏览器和终端用户的Web浏览安全威胁
针对传输网络的网络协议安全威胁
系统层安全威胁
Web服务器软件安全威胁
Web应用程序安全威胁
Web数据安全威胁
Web应用安全攻防技术概述:
Web应用的信息收集
攻击Web服务器软件
攻击Web应用程序
攻击Web数据内容
SQL注入:
代码注入是针对web应用程序的主流攻击技术之一。
代码注入根据攻击目标的不同又分为:
恶意读取、修改与操纵数据库的SQL注入攻击;
在Web服务器端安装、执行Webshell等恶意脚本的PHP注入或ASP注入攻击;
在web服务器端恶意执行操作系统命令的Shell注入攻击;
其他注入攻击。
SQL攻击步骤:
发现SQL注入点;判断后台数据库类型;后台数据库中管理员用户口令字猜解;上传ASP后门,得到默认账户权限;本地权限提升;利用数据库扩展存储过程执行Shell命令。
XSS跨站脚本攻击:
XSS跨站脚本攻击的最终目标是使用Web应用程序的用户。
XSS跨站脚本漏洞有两种类型:持久性XSS漏洞和非持久性XSS漏洞。前者是危害最为严重的XSS漏洞。
Web浏览器安全攻防
软件安全困境三要素:复杂性、可扩展性、连通性。浏览器软件面临着严重的威胁。
网页木马存在的技术基础:Web浏览端安全漏洞。
网页木马的本质核心——浏览器渗透攻击。
网页挂马机制,最主要的有如下四类策略:内嵌HTML标签、恶意Script脚本、内嵌对象连接、ARP欺骗挂马。
网页木马的检测与分析方法:基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果判定的检测分析方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。
Kali视频学习(16-20)
Kali漏洞分析之数据库评估
BBQSql
BBQSql 是Python编写的盲注工具(blind SQL injection framework),当检测可疑的注入漏洞时会很有用。是一个半自动工具,允许客户自定义参数。
DBPwAudit(数据库用户名密码枚举工具)
HexorBase 图形化的密码破解与连接工具
Jsql Injection
JSQL是一款轻量级的安全测试工具,可以检测SQL注入漏洞,它跨平台(Windows、Linux、Mac OS X 、Solaris),开源且免费。将存在注入漏洞的URL贴进来即可进行响应漏洞利用,图形化界面亲民,使用效率不高。
MDBTools
包括MDB-Export,以及MDB-Dump,mdb-parsecsv,mdb-sql,mdb-tables等子工具,具体环境具体使用。
Oracle scanner
oscanner是一个用java开发的Oracle评估工具。
SIDGusser
同样是针对oracle的SID进行暴力枚举工具。SID为oracle实例名,oracle连接字符串,通过实例名+用户名+密码连接。
SqlDICT
又一个用户名密码枚举工具,通过Wine运行。
SQLsus
SQLsus是一个开放源代码的MySql注入和人接管工具,SQLsus使用Perl编写,基于命令行界面。SQLsus可以获取数据库结构钢,注入自己的SQl语句,从服务器下载文件,爬行web站点可写目录,上传和控制后门,克隆数据库等。最好使用的亮点就是注射获取数据速度非常快,另一个最大的特点是自动搜索可写目录。
编辑配置文件:
修改 our $url_start = "";写入地址。
sqlninja
在sql注入方面一直尊sqlmap为神器,但sqlninja也有自己的特点。
Sqlninja是一款perl编写的专门针对Microsoft Sql Server的sql注入工具。和市面上其他的诸如工具不同,sqlninja没有将精力用在跑数据库上,而是侧重获得一个shell。sqlninja优点:
一个专门针对Microsoft Sql Server的sql注入工具。
可以远程sql服务器的标志和特征(版本、用户执行的查询、用户特权、xp-cmdshell的可用性、身份验证模式等)
“sa”口令的强力攻击
如果找到口令后,九江特权提升到“sa”
如果原始的xp-cmdshell被禁用后,就创建一个定制的xp-cmdshell。
使用纯粹的ASSCII GET/POST请求来上载netcat.exe程序(以及任何可执行程序),因此不需要FTP连接。
为了找到目标网络的防火墙所允许的端口,可以实施针对目标SQL,服务器TCP/UDP端口扫描。
逃避技术,使注入代码模糊不清,混淆/绕过机遇期阿宁的IPS和应用层防火墙。
采用“盲目执行”攻击模式,在其他模式失效时i,用于发布命令并执行诊断。
在sqlninja生成的代码上,执行自动化URL编码,用户可惊喜的控制漏洞利用的字符串。
得到权限sa,结合msf进一步对目标主机渗透。
Sqlmap
开源渗透测试工具,Python编写。自动化侦测实施Sql注入攻击及渗透数据库服务器,可以获取不同数据库的指纹信息,还可以提取数据。
漏洞分析之Web应用代理
Burp Suite
用于攻击web应用程序的集成平台,它带有一个代理,通过默认端口8080运行,使用这个代理,可以截获并修改从客户端到web应用程序的数据包。
OwaspZAP
攻击代理,查找网页应用程序漏洞的综合类渗透测试工具,包含拦截代理、自动代理、被动代理、暴力破解、端口扫描及蜘蛛搜索等功能。是会话类调试工具。
VEGA
开源的web应用程序安全测试平台,Vega能帮助验证SQL注入、跨站脚本(XSS)、敏感信息泄露和其他一些安全漏洞。Vega使用java编写,有GUI,可以在多平台下运行。Vega类似于Paros Proxy, Fiddler, Skipfish and ZAproxy。
WebScarab
webscarab是一款dialing软件,包括HTTP代理、网络爬行、网络蜘蛛、会话id分析、自动脚本接口、模糊测试工具、WEB格式的编码/解码、WEB服务描述语言和SOAP解析器等功能模块。webscarab基于GUN协议,使用Java编写,是WebGoat中使用的工具之一。
漏洞分析之BurpSuite
Burp Suite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量接口可以互相通信,这样设计的目的是为了促进和提高整个攻击的效率。
平台中所有工具共享同一robust框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报警和可扩展性。
Burp Suit允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。
这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。
Proxy提供一个直观、友好的用户界面,他的代理服务器包含非常详细的拦截规则,并能准确分析HTTP消息的结构与内容。
Spide爬行蜘蛛工具,可以用来抓取目标网站,以显示网站的内容,基本结构,和其他功能。
Scanner Web应用程序的安全漏洞进行自动发现工具。它被设计用于渗透测试,并密切与您现有的技术方法,以适应执行手动和半自动化的Web应用程序渗透测试。
Repeater可让您手动重新发送单个HTTP请求
Intruder是burp套件的优势,它提供一组特别有用的功能。它可以自动实施各种定制攻击,包括资源枚举、数据提取、模糊测试等常见漏洞。在各种有效的扫描工具中,它能够以最细化最简单的方式访问它设生产的请求与响应,允许组合利用个人智能与该工具的控制优点。
Sequencer对会话令牌,会话标识符或其他出于安全原因需要随机产生的键值的可预测性进行分析。
Decoder转化成规范的形式编码数据,或转化成各种形式编码和散列的原始数据。它能够智能识别多种编码格式,使用启发式技术。
Comparer是一个简单的工具,执行比较数据之间的任何两个项目。攻击一个Web应用程序的情况下,这一要求通常会出现当你想快速识别两个应用程序的响应之间的差异,或两个应用程序请求。
步骤:
1.配置监听端口,配置浏览器,在大多数浏览器,只需打开设置-网络-代理,然后告诉它使用“localhost”和端口“8080”。然后保存更新的设置。
2.爬虫与扫描,可以列出当前网站中已获取到的目录与文件及引用到的其他文件
3.测试暴力破解表单账户密码
4.repeater改包重放模块
5.decoder编码解码模块
6.compare模块
Kali漏洞分析之Fuzz工具
Bed.pl
Bed是一个纯文本协议Fuzz工具,能够检查常见的漏洞,如缓冲区溢出漏洞,格式串漏洞,整数溢出等。使用参数如下,可选择针对不同协议的插件。
Fuzz_ipv6
THC出品的针对IPV6协议的模糊测试工具
Powerfuzzer
BurpSuit等Web代理工具也具有相应Fuzz能力。
Ohrwurm
ohrwurm是一个很迷你RTP fuzz工具。
Wfuzz
针对WEB应用的模糊测试工具,可以进行web应用暴力猜解,也支持对网站目录、登录信息、应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入、xss漏洞的测试等。